如果機(jī)構(gòu)還沒有管理委員會(huì)，那么現(xiàn)在制定信息安全策略正是計(jì)劃建立這樣一個(gè)委員會(huì)的良機(jī)，委員會(huì)一般由5-8名相關(guān)的專家組成，他們在信息安全領(lǐng)域是有影響的、能代表各自的部門及其專門技術(shù)領(lǐng)域。想了解更多關(guān)于這樣一個(gè)委員會(huì)的信息，請參見《InformationSecurity Roles and Responsibilities Made Easy》。

在某些情形下，要組成制定信息安全策略的獨(dú)立的委員會(huì)，而不管信息安全管理委員會(huì)是否存在，它可以是管理委員會(huì)的從屬機(jī)構(gòu)。這種可稱為發(fā)展委員會(huì)建立以后，事實(shí)上并不應(yīng)該由它來撰寫策略，由各個(gè)委員會(huì)撰寫的策略常常是不連貫的想法和缺乏組織的思想，不能形成完整的容易理解的文檔。相反，應(yīng)該由一個(gè)技術(shù)合格的人來單獨(dú)起草，他具有良好的寫作能力并熟悉機(jī)構(gòu)業(yè)務(wù)活動(dòng)。如果該個(gè)人是發(fā)展委員會(huì)中的一員，并負(fù)責(zé)撰寫最初的策略草案，那么該發(fā)展委員會(huì)就可能是最有價(jià)值的。在此情形下，就可以利用該發(fā)展委員會(huì)確定需要解決的主題要求、預(yù)定出高水平的輪廓、確定策略的傳播方式并提供修改建議。

如果缺少上面提到的委員會(huì)中的任何一個(gè)，我們就大力推薦盡早由專門的內(nèi)部審計(jì)，人力資源和法律管理等部門輪流評審。這些部門是信息安全的重要同盟者，也會(huì)號召他們推行信息安全策略，如果草案沒有這些人的頌揚(yáng)，發(fā)布后也不會(huì)引起重視。基于這種理由，在撰寫第一個(gè)草案前應(yīng)該首先會(huì)見這些部門的高級成員，就是為了確保他們每個(gè)人都支持將要納入策略文檔的內(nèi)容。即使在先前提到的兩個(gè)委員會(huì)中，只能找到一兩個(gè)成員代表，這樣的會(huì)議也應(yīng)當(dāng)舉行。

雖然預(yù)先制定了新的信息安全策略，還必須或很快有一個(gè)適當(dāng)?shù)膶?shí)施過程， 如果這些策略不能得到實(shí)施，它們也將可能完全無效。不能得到執(zhí)行的策略，可能比完全沒有策略更糟，因?yàn)檫@樣的策略會(huì)教會(huì)員工做假和容忍不正確的行為， 策略沒有得到執(zhí)行，這還可能麻痹管理者以為信息安全問題已經(jīng)處理而現(xiàn)實(shí)卻是另外一回事。

管理層常常以為員工行為當(dāng)然以組織的最佳利益為重，這是一個(gè)危險(xiǎn)而欠考慮的假設(shè)。雖然策略不可能影響員工的個(gè)人價(jià)值觀，但管理層可以運(yùn)用策略給員工提供機(jī)會(huì)，引導(dǎo)他們和組織的利益一致。策略告訴員工對他們的期望是什么——那就是，如果他們想要繼續(xù)得到工作的話，這里假定員工個(gè)人利益和機(jī)構(gòu)的利益間始終存在著分岐，那么只有建立適當(dāng)而有效的服從機(jī)制，策略才會(huì)被認(rèn)真執(zhí)行。